ПЕРЕЛІК ДИСЦИПЛІН:
  • Адміністративне право
  • Арбітражний процес
  • Архітектура
  • Астрологія
  • Астрономія
  • Банківська справа
  • Безпека життєдіяльності
  • Біографії
  • Біологія
  • Біологія і хімія
  • Ботаніка та сільське гос-во
  • Бухгалтерський облік і аудит
  • Валютні відносини
  • Ветеринарія
  • Військова кафедра
  • Географія
  • Геодезія
  • Геологія
  • Етика
  • Держава і право
  • Цивільне право і процес
  • Діловодство
  • Гроші та кредит
  • Природничі науки
  • Журналістика
  • Екологія
  • Видавнича справа та поліграфія
  • Інвестиції
  • Іноземна мова
  • Інформатика
  • Інформатика, програмування
  • Юрист по наследству
  • Історичні особистості
  • Історія
  • Історія техніки
  • Кибернетика
  • Комунікації і зв'язок
  • Комп'ютерні науки
  • Косметологія
  • Короткий зміст творів
  • Криміналістика
  • Кримінологія
  • Криптология
  • Кулінарія
  • Культура і мистецтво
  • Культурологія
  • Російська література
  • Література і російська мова
  • Логіка
  • Логістика
  • Маркетинг
  • Математика
  • Медицина, здоров'я
  • Медичні науки
  • Міжнародне публічне право
  • Міжнародне приватне право
  • Міжнародні відносини
  • Менеджмент
  • Металургія
  • Москвоведение
  • Мовознавство
  • Музика
  • Муніципальне право
  • Податки, оподаткування
  •  
    Бесплатные рефераты
     

     

     

     

     

     

         
     
    Комп'ютерні віруси
         

     

    Інформатика, програмування

    Зміст

    | Ведення | 2 |
    | Хто і чому пише віруси | 2 |
    | Комп'ютерні віруси, їх властивості та класифікація | 3 |
    | Властивості комп'ютерних вірусів | 3 |
    | Класифікація вірусів | 4 |
    | Завантажувальні віруси | 5 |
    | Файлові віруси | 6 |
    | Завантажувально-файлові віруси | 6 |
    | Поліморфних вірусів | 6 |
    | Стелс-віруси | 7 |
    | Троянські коні, програмні закладки та мережеві черв'яки | 7 |
    | Шляхи проникнення вірусів у комп'ютер і механізми їх | 8 |
    | розповсюдження | |
    | Ознаки появи вірусів | 8 |
    | Методи захисту від комп'ютерних вірусів | 8 |
    | Антивірусні програми | 10 |
    | Висновок | 14 |

    Введення

    Навряд чи варто нагадувати, що комп'ютери стали справжніми помічникамилюдини і без них вже не може обійтися жодна комерційна фірма, нідержавна організація. Однак у зв'язку з цим особливо загостриласяпроблема захисту інформації.

    Віруси, що одержали широке поширення в комп'ютерній техніці,приголомшили увесь світ. Багато користувачів комп'ютерів стурбовані чуткамипро те, що за допомогою комп'ютерних вірусів зловмисники зламують мережі,грабують банки, крадуть інтелектуальну власність ...

    Сьогодні масове застосування персональних комп'ютерів, на жаль,був пов'язаний із появою самовідтворюються програм-вірусів,перешкоджають нормальній роботі комп'ютера, руйнують файлову структурудисків і завдають шкоди що зберігається в комп'ютері інформації.

    Все частіше в засобах масової інформації з'являються повідомлення прорізного роду піратських витівках комп'ютерних хуліганів, про появу вседосконаліших саморозмножуються програм. Зовсім недавно зараженнявірусом текстових файлів вважалося абсурдом - зараз цим вже нікого нездивуєш. Досить згадати появу "перші ластівки", який наробив багатошуму - вірусу WinWord. Concept, що вражає документи у форматі текстовогопроцесора Microsoft Word for Windows 6.0 і 7.0. Незважаючи на прийняті підбагатьох країнах закони про боротьбу з комп'ютерними злочинами і розробкуспеціальних програмних засобів захисту від вірусів, кількість новихпрограмних вірусів постійно росте. Це вимагає від користувачаперсонального комп'ютера знань про природу вірусів, способи зараженнявірусами і захисту від них.

    Хто і чому пише віруси?

    Хто ж пише віруси? Основну їх масу створюють студенти та школярі,які тільки що вивчили мову асемблера, хочуть спробувати свої сили, алене можуть знайти для них більш гідного застосування. Отраді той факт, щозначна частина таких вірусів їх авторами часто не поширюється, івіруси через деякий час «вмирають» разом з дискетами, на якихзберігаються. Такі віруси пишуться швидше за все тільки для самоствердження.

    Другу групу складають також молоді люди (частіше - студенти), якіще не повністю оволоділи мистецтвом програмування, але вже вирішилиприсвятити себе написанню та розповсюдженню вірусів. Єдина причина,що штовхає подібних людей на написання вірусів, це комплекснеповноцінності, який проявляє себе в комп'ютерному хуліганстві.

    З-під пера таких «умільців» часто виходять або численнімодифікації «класичних» вірусів, або віруси вкрай примітивні і звеликою кількістю помилок. Значно полегшилася життя подібнихвірусописьменників після виходу конструкторів вірусів, за допомогою якихможна створювати нові віруси навіть при мінімальних знаннях про операційнусистемі і компонування, або навіть взагалі не маючи про це ніякогоподання. Їх життя стало ще легше після появи макро-вірусів,оскільки замість складного мови Асемблер для написання макро-вірусівдостатньо вивчити досить простий Бейсік.

    Ставши старшим і більш досвідчений, але так і не подорослішав, багато хто з подібнихвірусописьменників потрапляють у третьому, найбільш небезпечну групу, яка створюєі запускає у світ «професійні» віруси. Ці дуже ретельнопродумані і налагоджені програми створюються професійними, часто дужеталановитими програмістами. Такі віруси нерідко використовують доситьоригінальні алгоритми, недокументовані і мало кому відомі способипроникнення в системні області даних. «Професійні» віруси частовиконані за технологією «стелс» і (або) є поліморфік-вірусами,заражають не тільки файли, але і завантажувальні сектори дисків, а іноді йвиконувані файли Windows і OS/2.

    Кілька окремо варто четверта група авторів вірусів -
    «Дослідники». Ця група складається з досить кмітливихпрограмістів, які займаються винаходом принципово нових методівзараження, приховування, протидії антивірусам і т.д. Вони ж придумуютьспособи впровадження в нові операційні системи, конструктори вірусів іполіморфік-генератори. Ці програмісти пишуть віруси не заради власневірусів, а швидше ради «дослідження» потенціалів «комп'ютерної фауни».

    Часто автори подібних вірусів не запускають свої творіння в життя,проте дуже активно пропагують свої ідеї через численніелектронні видання, присвячені створенню вірусів. При цьому небезпека відтаких «дослідницьких» вірусів не падає - потрапивши до рук «професіоналів»з третьої групи, нові ідеї дуже швидко реалізуються в нових віруси.

    Відношення до авторів вірусів Троїста. По-перше, всі, хто пишевіруси або сприяє їх розповсюдженню, є «годувальниками»антивірусної індустрії, річний оборот якої оцінюється як мінімум двісотні мільйонів доларів або навіть більше того (при цьому не варто забувати,що збитки від вірусів становлять кілька сотень мільйонів доларівщорічно і в рази перевищують витрати на антивірусні програми). Якщо загальнакількість вірусів до кінця 1997 року швидше за все досягне 20.000, тоневажко підрахувати, що дохід антивірусних фірм від кожного вірусу щорічноскладає мінімум 10 тисяч доларів. Звичайно ж, авторам вірусів неслід сподіватися на матеріальну винагороду: як показує практика,їх праця була і залишається безкоштовним. До того ж на сьогоднішній деньпропозиція (нові віруси) цілком задовольняє попит (можливостіантивірусних фірм з обробки нових вірусів).

    По-друге, кілька жаль авторів вірусів, особливо «професіоналів».
    Адже для того, щоб написати подібний вірус, необхідно: a) затратитидосить багато сил і часу, причому набагато більше, ніж потрібно длятого, щоб розібратися у вірусу занести його до бази даних або навітьнаписати спеціальний антивірус, і б) не мати іншого, більшпривабливого, заняття. Отже, Вірусописьменники - «професіонали»досить працездатні і одночасно з цим маються від неробства - ситуаціядуже сумна.

    І по-третє, ставлення до авторів вірусів досить сильно підмішанапочуття нелюбові і презирства як до людей, свідомо і безцільно що витрачають себена шкоду всім іншим.

    Комп'ютерні віруси, їх властивості та класифікація

    Властивості комп'ютерних вірусів

    Зараз застосовуються персональні комп'ютери, в яких користувачмає вільний доступ до всіх ресурсів машини. Саме це відкриломожливість для небезпеки, яка отримала назву комп'ютерного вірусу.

    Що таке комп'ютерний вірус? Формальне визначення цього поняття додосі не придумано, і є серйозні сумніви, що воно взагалі може бутидано. Численні спроби дати «сучасне» визначення вірусу непривели до успіху. Тому ми обмежимося розглядом деяких властивостейкомп'ютерних вірусів, які дозволяють говорити про них як про деякепевному класі програм.

    Перш за все, вірус - це програма. Таке просте твердження саме пособі здатне розвіяти безліч легенд про незвичайні можливостікомп'ютерних вірусів. Вірус може перевернути зображення на вашомумоніторі, але не може перевернути сам монітор. До легенд про віруси -вбивць, «знищують операторів за допомогою виводу на екран небезпечноїколірної гами 25-м кадром »також не варто ставитися серйозно. Дожаль, деякі авторитетні видання час від часу публікують «самісвіжі новини з комп'ютерних фронтів », які при ближчому розглядівиявляються наслідком не цілком ясного розуміння предмета.

    Вірус - програма, здатна до самовідтворення. Таказдатність є єдиним засобом, що властиво всім типам вірусів.
    Але не тільки віруси здатні до самовідтворення. Будь-яка операційнасистема і ще безліч програм здатні створювати власні копії.
    Копії ж вірусу не тільки не зобов'язані повністю збігатися з оригіналом, але,і можуть взагалі з ним не збігатися!
    Вірус не може існувати в «повній ізоляції»: сьогодні не можна уявитисобі вірус, який не використовує код інших програм, інформацію профайлову структуру або навіть просто імена інших програм. Причина зрозуміла:вірус має яких-небудь способом забезпечити передачу собі керування.

    Класифікація вірусів

    В даний час відомо більше 5000 програмних вірусів, їх можнакласифікувати за такими ознаками:
    . середовищі існування
    . способом зараження середовища проживання
    . впливу
    . особливостями алгоритму

    Залежно від середовища перебування віруси можна розділити на мережеві,файлові, завантажувальні та файлово-завантажувальні. Мережеві вірусипоширюються по різних комп'ютерних мереж. Файлові вірусивпроваджуються головним чином у виконувані модулі, тобто у файли, що маютьрозширення COM та EXE. Файлові віруси можуть впроваджуватися і в інші типифайлів, але, як правило, записані в таких файлах, вони ніколи не отримуютьуправління і, отже, втрачають здатність до розмноження. Завантажувальнівіруси впроваджуються в завантажувальний сектор диска (Boot-сектор) або в сектор,що містить програму завантаження системного диска (Master Boot Re-cord).
    Файлово-завантажувальні віруси заражають як файли, так і завантажувальні секторидисків.

    За способом зараження віруси поділяються на резидентні і нерезидентні.
    Резидентний вірус при зараженні (інфікуванні) комп'ютера залишає воперативної пам'яті свою резидентну частина, яка потім перехоплюєзвертання операційної системи до об'єктів зараження (файлів, завантажувальнимсекторів дисків і т. п.) і впроваджується в них. Резидентні віруси знаходяться впам'яті і є активними аж до вимикання або перезавантаженнякомп'ютера. Нерезидентні віруси не заражають пам'ять комп'ютера і єактивними обмежений час.

    За ступенем впливу віруси можна розділити на наступні види:
    . безпечні, не заважають роботі комп'ютера, але зменшують обсяг вільної оперативної пам'яті і пам'яті на дисках, дії таких вірусів проявляються в будь-яких графічних або звукових ефектах
    . небезпечні віруси, які можуть привести до різних порушень в роботі комп'ютера
    . дуже небезпечні, вплив яких може призвести до втрати програм, знищення даних, стирання інформації в системних областях диска.

    За особливостями алгоритму віруси важко класифікувати через великурізноманітності. Найпростіші віруси - паразитичні, вони змінюють вмістфайлів і секторів диска і можуть бути досить легко виявлені ізнищені. Можна відзначити віруси-станції, звані хробаками, якірозповсюджуються по комп'ютерних мережах, обчислюють адреси мережнихкомп'ютерів і записують за цими адресами свої копії.

    Відомі віруси-невидимки, звані стелс-вірусами, які дужеважко виявити та знешкодити, так як вони перехоплюють зверненняопераційної системи до уражених файлів і секторів дисків та підставляютьзамість свого тіла незаражені ділянки диска. Найбільш важко виявитивіруси-мутанти, що містять алгоритми шифрування-розшифровки, завдякияким копії одного і того ж вірусу не мають ні одного повторюєтьсяланцюжка байтів. Є і так звані квазівірусние або «троянські»програми, які хоч і не здатні до самопоширення, але дуженебезпечні, тому що, маскуючись під корисну програму, руйнують завантажувальнийсектор і файлову систему дисків.

    Тепер детальніше про деякі з цих груп.

    Завантажувальні віруси

    Розглянемо схему функціонування дуже простого завантажувального вірусу,заражающего дискети.

    Що відбувається, коли ви вмикаєте комп'ютер? Насамперед управлінняпередається програмі початкового завантаження, яка зберігається в постійнопристрої, що запам'ятовує (ПЗУ) тобто ПНЗ ПЗУ.

    Ця програма тестує обладнання і при успішному завершенні перевірокнамагається знайти дискету в дисководі А:

    Всяка дискета розмічена на т.зв. сектори і доріжки. Секториоб'єднуються в кластери, але це для нас несуттєво.

    Серед секторів є кілька службових, що використовуються операційноюсистемою для власних потреб (у цих секторах не можуть розміщуватися вашідані). Серед службових секторів нас цікавить сектор початкового завантаження
    (boot-sector).

    У секторі початкового завантаження зберігається інформація про дискеті - кількістьповерхонь, кількість доріжок, кількість секторів і пр. Але нас заразцікавить не ця інформація, а невелика програма початкового завантаження
    (ПНЗ), яка повинна завантажити саму операційну систему і передати їйуправління.

    Таким чином, нормальна схема початкового завантаження наступна:

    ПНЗ (ПЗУ) - ПНЗ (диск) - СИСТЕМА

    Тепер розглянемо вірус. У завантажувальних віруси виділяють дві частини: голову і т.зв. хвіст. Хвіст може бути порожнім.

    Хай у вас є чиста дискета і заражений комп'ютер, під якимми розуміємо комп'ютер з активним резидентним вірусом. Як тільки цей вірусвиявить, що в дисководі з'явилася відповідна жертва - у нашому випадку незахищена від запису і ще не заражена дискета, він приступає дозараження. Заражаючи дискету, вірус виробляє наступні дії:
    . виділяє певну область диска і позначає її як недоступну операційній системі, це можна зробити по-різному, в простому і традиційному випадку зайняті вірусом сектори позначаються як збійні (bad)
    . копіює у виділену область диска свій хвіст і оригінальний (здоровий) завантажувальний сектор
    . заміняє програму початкового завантаження в завантажувальному секторі (тепер) своєю головою
    . організовує ланцюжок передачі управління згідно зі схемою.

    Таким чином, голова вірусу тепер перший отримує управління, вірусвстановлюється в пам'ять і передає управління оригінального завантажувальномусектору. У ланцюжку

    ПНЗ (ПЗУ) - ПНЗ (диск) - СИСТЕМА з'являється нова ланка:

    ПНЗ (ПЗУ) - ВІРУС - ПНЗ (диск) - СИСТЕМА

    Ми розглянули схему функціонування простого бутового вірусу,що живе в завантажувальних секторах дискет. Як правило, віруси здатнізаражати не тільки завантажувальні сектори дискет, але і завантажувальні секторивінчестерів. При цьому на відміну від дискет на вінчестері є два типизавантажувальних секторів, що містять програми початкового завантаження, якіотримують управління. При завантаженні комп'ютера з вінчестера перший бере насебе управління програма початкового завантаження в MBR (Master Boot Record --головна запис завантаження). Якщо ваш жорсткий диск розбитий на кількарозділів, то лише один з них позначений як завантажувальний (boot). Програмапочаткового завантаження в MBR знаходить завантажувальний розділ вінчестера і передаєуправління на програму початкового завантаження цього розділу. Код останньоїзбігається з кодом програми початкового завантаження, що міститься на звичайнихдискетах, а відповідні завантажувальні сектори відрізняються лишетаблицями параметрів. Таким чином, на вінчестері є два об'єктиатаки завантажувальних вірусів - програма початкового завантаження в MBR і програмапочаткового завантаження в бут-секторі завантажувального диска.

    Файлові віруси

    Розглянемо тепер схему роботи простого файлового вірусу. На відміну відзавантажувальних вірусів, які практично завжди резидентних, файлові вірусизовсім не обов'язково резидентних. Розглянемо схему функціонуваннянерезидентного файлового вірусу. Нехай у нас є інфікованийвиконуваний файл. При запуску такого файлу вірус одержує управління,виробляє деякі дії і передає управління «хазяїну»

    Які ж дії виконує вірус? Він шукає новий об'єкт для зараження --відповідний за типом файл, який ще не заражена. Заражаючи файл, вірусвпроваджується в його код, щоб отримати управління при запуску цього файлу.
    Окрім своєї основної функції - розмноження, вірус цілком може зробити що -небудь хитромудро (сказати, запитати, зіграти) - це вже залежить відфантазії автора вірусу. Якщо файловий вірус резидентний, то він встановитьсяв пам'ять і отримає можливість заражати файли і виявляти іншіздібності не тільки в брешемо?? роботи зараженого файлу. Заражаючивиконуваний файл, вірус завжди змінює його код - отже, зараженняфайлу, що виконується завжди можна виявити. Але, змінюючи код файлу, вірус необов'язково вносить інші зміни:
    . він не зобов'язаний змінювати довжину файлу
    . невживані ділянки коду
    . не зобов'язаний змінювати початок файлу

    Нарешті, до файлових вірусів часто відносять віруси, які «маютьпевне відношення до файлів », але не зобов'язані впроваджуватися в їх код.

    Таким чином, при запуску будь-якого файлу вірус одержує управління
    (операційна система запускає його сама), резидентний встановлюється впам'ять і передає управління викликаному файлу.

    Завантажувально-файлові віруси

    Ми не будемо розглядати модель завантажувально-файлового вірусу, боніякої нової інформації ви при цьому не дізнаєтеся. Але тут видаєтьсязручний випадок коротко обговорити вкрай «популярний» останнім часомзавантажувально-файловий вірус OneHalf, що заражає головний завантажувальний сектор
    (MBR) і виконувані файли. Основна руйнівна дія - шифруваннясекторів вінчестера. При кожному запуску вірус шифрує чергову порціюсекторів, а, зашифровані половину жорсткого диска, радісно повідомляє про це.
    Основна проблема при лікуванні даного вірусу полягає в тому, щонедостатньо просто видалити вірус з MBR і файлів, треба розшифруватизашифровану їм інформацію.

    поліморфних вірусів

    Більшість питань пов'язано з терміном «поліморфний вірус». Цей видкомп'ютерних вірусів представляється на сьогоднішній день найбільш небезпечним.
    Пояснимо ж, що це таке.

    поліморфних вірусів - віруси, що модифікують свій код в зараженихпрограмах таким чином, що два примірники одного і того самого вірусу можутьне збігатися ні в одному бите.

    Такі віруси не тільки шифрують свій код, використовуючи різні шляхишифрування, але й містять код генерації шіфровщіка і розшифровувача, щовідрізняє їх від звичайних шифрувальних вірусів, які також можуть шифруватиділянки свого коду, але мають при цьому постійний код шифрувальника ірозшифровувача.

    поліморфні віруси - це віруси з самомодіфіцірующімісярозшифровувача. Мета такого шифрування: маючи заражений і оригінальнийфайли, ви все одно не зможете проаналізувати його код за допомогою звичайногодізассемблірованія. Цей код зашифрований і є безглуздийнабір команд. Розшифровка виробляється самим вірусом вже безпосередньо підчас виконання. При цьому можливі варіанти: він може розшифрувати себеза все відразу, а може виконати таку розшифровку «по ходу справи», можезнову шифрувати вже відпрацьовані ділянки. Все це робиться заради утрудненняаналізу коду вірусу.

    Стелс-віруси

    У ході перевірки комп'ютера антивірусні програми зчитують дані --файли та системні області з жорстких дисків та дискет, користуючись засобамиопераційної системи та базової системи введення/виводу BIOS. Ряд вірусів,після запуску залишають в оперативній пам'яті комп'ютера спеціальні модулі,перехоплюють звернення програм до дискової підсистеми комп'ютера. Якщотакий модуль виявляє, що програма намагається прочитати заражений файлабо системну область диска, він на ходу підмінює читаються дані, якніби вірусу на диску немає.

    Стелс-віруси обманюють антивірусні програми і в результаті залишаютьсянепоміченими. Тим не менш, існує простий спосіб відключити механізммаскування стелс-вірусів. Досить завантажити комп'ютер з не зараженоїсистемної дискети і відразу, не запускаючи інших програм з диска комп'ютера
    (які також можуть виявитися зараженими), перевірити комп'ютерантивірусною програмою.

    При завантаженні з системної дискети вірус не може отримати управління івстановити в оперативній пам'яті резидентний модуль, що реалізує стелс -механізм. Антивірусна програма зможе прочитати інформацію, що дійснозаписану на диску, і легко виявить вірус.

    троянські коні, програмні закладки та мережеві черв'яки

    Троянський кінь - це програма, яка містить в собі деякуруйнує функцію, яка активізується при настанні деякогоумови спрацювання. Зазвичай такі програми маскуються під які-небудькорисні утиліти. Віруси можуть нести в собі троянських коней або
    "троянізіровать" інші програми - вносити до них руйнують функції.

    «троянські коні» являють собою програми, що реалізують крімфункцій, що описані в документації, і деякі інші функції, пов'язані зпорушенням безпеки і деструктивними діями. Відмічені випадкистворення таких програм з метою полегшення розповсюдження вірусів. Спискитаких програм широко публікуються в зарубіжній пресі. Зазвичай вонимаскуються під ігрові або розважальні програми та завдають шкоди підкрасиві картинки або музику.

    Програмні закладки також містять деяку функцію, що завдає шкоди
    НД, але ця функція, навпаки, намагається бути якомога непомітніше, тому щочим довше програма не буде викликати підозр, тим довше закладказможе працювати.

    Якщо віруси і «троянські коні» завдають шкоди за допомогоюлавиноподібного саморозмноження або явного руйнування, то основна функціявірусів типу «хробак», що діють в комп'ютерних мережах, - злом атакуєтьсясистеми, тобто подолання захисту з метою порушення безпеки іцілісності.

    У більш 80% комп'ютерних злочинів, що розслідуються ФБР, "зломщики"проникають в атакується систему через глобальну мережу Internet. Коли такаспроба вдається, майбутнє компанії, на створення якої пішли роки, можебути поставлено під загрозу за якісь секунди.

    Цей процес може бути автоматизовано за допомогою вірусу, званогомережевий черв'як.

    хробаками називають віруси, які розповсюджуються по глобальних мережах,вражаючи цілі системи, а не окремі програми. Це самий небезпечний видвірусів, тому що об'єктами нападу в цьому випадку стаютьінформаційні системи державного масштабу. З появою глобальноїмережі Internet цей вид порушення безпеки представляє найбільшузагрозу, тому що йому в будь-який момент може зазнати будь-який з 40 мільйонівкомп'ютерів, підключених до цієї мережі.

    Шляхи проникнення вірусів у комп'ютер і механізм розподілу вірусних програм

    Основними шляхами проникнення вірусів у комп'ютер є знімнідиски (гнучкі та лазерні), а також комп'ютерні мережі. Зараження жорсткогодиска вірусами може статися під час завантаження програми з дискети, яка міститьвірус. Таке зараження може бути і випадковим, наприклад, якщо дискети невийняли з дисковода А і перезавантажили комп'ютер, при цьому дискета можебути і не системною. Заразити дискету набагато простіше. На неї вірус можепотрапити, навіть якщо дискету просто вставили в дисковод зараженогокомп'ютера і, наприклад, прочитали її зміст.

    Вірус, як правило, впроваджується в робочу програму таким чином, щобпри її запуску управління спочатку передалося йому і тільки після виконаннявсіх його команд знову повернулося до робочої програми. Отримавши доступ доуправління, вірус, перш за все, переписує сам себе в іншу робочупрограму і заражає її. Після запуску програми, яка містить вірус,стає можливим зараження інших файлів.

    Найбільш часто заражаються вірусом завантажувальний сектор диска івиконувані файли, що мають розширення EXE, COM, SYS, BAT. Вкрай рідкозаражаються текстові файли.

    Після зараження програми вірус може виконати якусь диверсію,не дуже серйозну, щоб не привернути уваги. І, нарешті, не забуваєповернути управління тій програмі, з якої було запущено. Кожневиконання зараженої програми вірус переносить в наступну. Таким чином,заразиться все програмне забезпечення.

    Ознаки появи вірусів


    При зараженні комп'ютера вірусом важливо його виявити. Для цього слідзнати про основні ознаки прояву вірусів. До них можна віднестинаступні:
    . припинення роботи або неправильна робота раніше успішно функціонуючих програм
    . повільна робота комп'ютера
    . неможливість завантаження операційної системи
    . зникнення файлів і каталогів чи спотворення їх вмісту
    . зміна дати і часу модифікації файлів
    . зміна розмірів файлів
    . несподіване значне збільшення кількості файлів на диску
    . істотне зменшення розміру вільної оперативної пам'яті
    . виведення на екран непередбачених повідомлень та зображень
    . подача непередбачуваних звукових сигналів
    . часті зависання і збої в роботі комп'ютера

    Слід зазначити, що перераховані вище явища необов'язкововикликаються присутністю вірусу, а можуть бути наслідком інших причин.
    Тому завжди утруднена правильна діагностика стану комп'ютера.

    Методи захисту від комп'ютерних вірусів

    Яким би не був вірус, користувачеві необхідно знати основні методизахисту від комп'ютерних вірусів.

    Для захисту від вірусів можна використовувати:
    . загальні засоби захисту інформації, які корисні також і як страховка від фізичного псування дисків, неправильно працюючих програм або помилкових дій користувача;
    . профілактичні заходи, що дозволяють зменшити ймовірність зараження вірусом;
    . спеціалізовані програми для захисту від вірусів.

    Загальні засоби захисту інформації корисні не тільки для захисту відвірусів. Є дві основні різновиди цих коштів:
    . копіювання інформації - створення копій файлів і системних областей дисків;
    . розмежування доступу запобігає несанкціоноване використання інформації, зокрема, захист від змін програм і даних вірусами, неправильно працюючими програмами та помилковими діями користувачів.

    Незважаючи на те, що загальні засоби захисту інформації дуже важливі длязахисту від вірусів, все ж їх недостатньо. Необхідно і застосуванняспеціалізованих програм для захисту від вірусів. Ці програми можнарозділити на кілька видів: детектори, доктора (фаги), ревізори,доктори-ревізори, фільтри та вакцини (іммунізатори).

    ПРОГРАМИ-ДЕТЕКТОРИ дозволяють виявляти файли, заражені одним здекількох відомих вірусів. Ці програми перевіряють, чи є у файлахна вказаному користувачем диску специфічна для даного вірусукомбінація байтів. При її виявленні в будь-якому файлі на екран виводитьсявідповідне повідомлення. Багато детектори мають режими лікування абознищення заражених файлів. Слід підкреслити, що програми-детекториможуть виявляти тільки ті віруси, які їй "відомі". Деякіпрограми-детектори можуть настроювати на нові типи вірусів, їм необхіднолише вказати комбінації байтів, властиві цих вірусів. Тим не міннянеможливо розробити таку програму, яка могла б виявлятибудь-який заздалегідь невідомий вірус.

    Таким чином, з того, що програма не розпізнається детекторами якзаражена, не випливає, що вона здорова - у ній можуть сидіти який-небудьновий вірус або злегка модифікована версія старого вірусу, невідоміпрограмами-детекторів.

    Багато програми-детектори не вміють виявляти зараження "невидимими"вірусами, якщо такий вірус активний в пам'яті комп'ютера. Справа в тому, що длячитання диска вони використовують функції DOS, а вони перехоплюються вірусом,який говорить, що все добре. Правда детектори намагаються виявити вірусшляхом перегляду оперативної пам'яті, але проти деяких "хитрих" вірусівце не допомагає. Так що надійний діагноз програми-детектори дають тількипри завантаженні DOS з "чистою", захищеної від запису дискети, при цьому копіяпрограми-детектора також повинна бути запущена з цієї дискети.

    Деякі детектори вміють ловити "невидимі" віруси, навіть коли вониактивні. Для цього вони читають диск, не використовуючи виклики DOS. Правда, цейметод працює не на всіх дисководах.

    Більшість програм-детекторів мають функцію "доктора", тобто вонинамагаються повернути заражені файли або області диска в їх вихіднестан. Ті файли, які не вдалося відновити, як правило, роблятьсянепрацездатними або видаляються.

    Більшість програм-докторів вміють "лікувати" тільки від деякогофіксованого набору вірусів, тому вони швидко старіють. Але деякіпрограми можуть навчатися не тільки способам виявлення, а й способамлікування нових вірусів.

    ПРОГРАМИ-ревізор мають дві стадії роботи. Спочатку вони запам'ятовуютьвідомості про стан програм і системних областей дисків (завантажувальногосектору та сектору з таблицею розбиття жорсткого диска). Передбачається,що в цей момент програми та системні області дисків не заражені. Післяцього за допомогою програми-ревізора можна в будь-який момент порівняти станпрограм і системних областей дисків з вихідним. Про виявленіневідповідності повідомляється користувачеві.

    Щоб перевірка стану програм і дисків проходила при кожнійзавантаженні операційної системи, необхідно включити команду запускупрограми-ревізора в командний файл AUTOEXEC.BAT. Це дозволяє виявитизараження комп'ютерним вірусом, коли він ще не встиг завдати великоїшкоди. Більше того, та ж програма-ревізор зможе знайти пошкодженівірусом файли.

    Багато програми-ревізори є досить "інтелектуальними" - вониможуть відрізняти зміни у файлах, викликані, наприклад, переходом до новоїверсії програми, від змін, що вносяться вірусом, і не піднімають помилковоїтривоги. Справа в тому, що віруси зазвичай змінюють файли вельмиспецифічним чином і виробляють однакові зміни в різнихпрограмних файлах. Зрозуміло, що в нормальній ситуації такі змінипрактично ніколи не зустрічаються, тому програма-ревізор, зафіксувавшифакт таких змін, може з упевненістю повідомити, що вони викликанісаме вірусом.

    Інші програми часто використовують різні напівзаходи - намагаютьсявиявити вірус в оперативній пам'яті, вимагають виклики з першого рядкафайлу AUTOEXEC.BAT, сподіваючись працювати на "чистому" комп'ютері, і т.д. На жаль,проти деяких "хитрих" вірусів все це марно.

    Для перевірки того, чи не змінився файл, деякі програми-ревізори перевіряють довжину файлу. Але ця перевірка недостатня - деякі віруси незмінюють довжину заражених файлів. Більш надійна перевірка - прочитати весьфайл і обчислити його контрольну суму. Змінити файл так, щоб йогоконтрольна сума залишилася колишньою, практично неможливо.

    Останнім часом з'явилися дуже корисні гібриди ревізорів ідокторів, тобто ДОКТОРА-ревізора, - програми, які не тільки виявляютьзміни у файлах і системних областях дисків, а й можуть у разізмін автоматично повернути їх в початковий стан. Такі програмиможуть бути набагато більш універсальними, ніж програми-доктори, оскількипри лікуванні вони використовують заздалегідь збережену інформацію про станфайлів і областей дисків. Це дозволяє їм використати файли навіть від тихвірусів, які не були створені на момент написання програми.

    Але вони можуть лікувати не від усіх вірусів, а тільки від тих, яківикористовують "стандартні", відомі на момент написання програми,механізми зараження файлів.

    Існують також ПРОГРАМИ-ФІЛЬТРИ, які розташовуються резидентної воперативної пам'яті комп'ютера і перехоплюють ті звернення до операційної системи, що використовуються вірусами для розмноження і нанесенняшкоди, і повідомляють про них користувача. Користувач може дозволити абозаборонити виконання відповідної операції.

    Деякі програми-фільтри не "ловлять" підозрілі дії, аперевіряють викликаються на виконання програми, на наявність вірусів. Цевикликає уповільнення роботи комп'ютера.

    Однак переваги використання програм-фільтрів дуже значні
    - Вони дозволяють виявити багато вірусів на самій ранній стадії, коливірус ще не встиг розмножитися і що-небудь зіпсувати. Тим самим можназвести збитки від вірусу до мінімуму.

    ПРОГРАМИ-ВАКЦИНИ, або ІММУНІЗАТОРИ, модифікують програми і дискитаким чином, що це не відбивається на роботі програм, але той вірус,від якого здійснюється вакцинація, вважає ці програми або диски вже зараженими. Ці програми є вкрай неефективним.

    Антивірусні програми

    Отже, що ж таке антивірус? Чомусь багато хто вважає, що антивірусможе виявити будь-який вірус, тобто, запустивши антивірусну програму абомонітор, можна бути абсолютно впевненим у їх надійності. Така точка зоруне зовсім вірна. Справа в тому, що антивірус - це теж програма, звичайно,написана професіоналом. Але ці програми здатні розпізнавати ізнищувати лише відомі віруси. Тобто антівірвус проти конкретноговірусу може бути написаний лише в тому випадку, коли у програміста є внаявності хоча б один екземпляр цього вірусу. От і йде ця нескінченнавійна між авторами вірусів і антивірусів, щоправда, першого в нашій країнічомусь завжди більше, ніж друга. Але і у творців антивірусів єперевагу! Справа в тому, що існує велика кількість вірусів,алгоритм яких практично скопійований з алгоритму інших вірусів. Якправило, такі варіації створюють непрофесійні програмісти, які заякихось причин вирішили написати вірус. Для боротьби з такими "копіями"придумано нову зброю - евристичні аналізатори. З їх допомогою антивірусздатний знаходити подібні аналоги відомих вірусів, повідомляючи користувачеві,що в нього, схоже, завівся вірус. Природно, надійність евристичногоаналізатора не 100%, але все ж його коефіцієнт корисної дії більше
    0,5. Таким чином, у цій інформаційній війні, як, втім, і в будьінший, залишаються найсильніші. Віруси, які не розпізнаються антивіруснимидетекторами, здатні написати тільки найбільш досвідчені й кваліфікованіпрограмісти.

    Таким чином, на 100% захиститися від вірусів практично неможливо
    (мається на увазі, що користувач змінюється дискетами з друзями і грає вігор, а також отримує інформацію з інших джерел, наприклад з мереж).
    Якщо ж не вносити інформацію в комп'ютер ззовні, заразитися вірусомнеможливо - сам він не народиться.

    DOCTOR WEB

    Останнім часом стрімко зростає популярність антивірусноїпрограми - Doctor Web. Dr.Web відноситься до класу детекторів - докторів,має так званий "евристичний аналізатор" - алгоритм, що дозволяєвиявляти невідомі віруси. "Лікувальна павутина", як перекладається занглійської назва програми, стала відповіддю вітчизняних програмістівна навалу самомодіфіцірующіхся вірусів-мутантів. Останні прирозмноженні модифікують своє тіло так, що не залишається жодноїхарактерною ланцюжка байт, яка була присутня у вихідній версії вірусу.

    Управління режимами здійснюється за допомогою ключів. Користувачможе вказати програмі, тестувати як весь диск, так і окреміпідкаталоги або групи файлів, або ж відмовитися від перевірки дисків татестувати тільки оперативну пам'ять. У свою чергу можна тестуватиабо тільки базову пам'ять, або, до того ж, ще й розширену (вказуєтьсяза допомогою ключа/H). Doctor Web може створювати звіт про роботу (ключ
    / P), завантажувати знакогенератор Кирилиці (ключ/R), підтримує роботуз програмно-апаратним комплексом Sheriff (ключ/Z).

    Але, звичайно, головною особливістю "Лікувальної павутини" є наявністьевристичного аналізатора, який підключається ключем/S. Балансу міжшвидкістю та якістю можна добитися, вказавши ключу рівень евристичногоаналізу: 0 - мінімальний, 1 - оптимальний, 2 - максимальний; при цьому,природно, швидкість зменшується пропорційно до збільшення якості. Дотого ж Dr.Web дозволяє тестувати файли, вакциновані CPAV, а такожупаковані LZEXE, PKLITE, DIET.

         
     
         
    Реферат Банк
     
    Рефераты
     
    Бесплатные рефераты
     

     

     

     

     

     

     

     
     
     
      Все права защищены. Reff.net.ua - українські реферати ! DMCA.com Protection Status